【正文】 的 Service Pack升級 Windows NT/2023 Server 因為服務(wù)包 (Service Pack)包括所有補丁程序和后來發(fā)表的很多安全補丁程序 。 3) 掌握并使用微軟提供但未設(shè)置的安全功能 例如 ， 缺省安裝未禁用 G u e s t 賬號 ， 并且給Everyone(每個人 )工作組授予 “ 完全控制 ” 權(quán)限 ， 沒有實施口令策略等都給網(wǎng)絡(luò)的安全留下了漏洞 。 要加強服務(wù)器的安全 ， 必須根據(jù)需要設(shè)置這些功能 。 第 6章 計算機網(wǎng)絡(luò)的安全性 4) 控制授權(quán)用戶的訪問 在域里配置適當?shù)?NTFS訪問控制可以增強網(wǎng)絡(luò)的安全；取消或更改缺省情況下的 Everyone組的 “ 完全控制 ”權(quán)限；需要始終設(shè)置用戶所能允許的最小的文件夾和文件的訪問權(quán)限；另外 ， 不要共享任何一個 FAT卷 。 5) 避免給用戶定義特定的訪問控制 將用戶以 “ 組 ” 的方式進行管理是一個用戶管理的有效方法 。 如果一個用戶在公司里的角色變了 ， 很難跟蹤并更改他的訪問權(quán) 。 最明智的做法就是為每個用戶指定一個工作組 ， 為工作組指定文件 、 文件夾訪問權(quán) 。 如果要收回或更改某個用戶的訪問權(quán) ， 只要把該用戶從工作組中刪除或指定另一個工作組就可以了 。 第 6章 計算機網(wǎng)絡(luò)的安全性 6) 實施賬號及口令策略 用域用戶管理器配置口令策略 。 選擇好口令的原則主要有： (1) 登錄名稱中的字符不要重復(fù)或循環(huán) 。 (2) 至少包含兩個字母字符和一個非字母字符 。 (3) 至少有 6個字符長度 。 (4) 不是用戶的姓名 ， 不是相關(guān)人物 、 著名人物的姓名 ， 不是用戶的生日和電話號碼及其他容易猜測的字符組合等 。 第 6章 計算機網(wǎng)絡(luò)的安全性 (5) 要求用戶定期更改口令 。 (6) 給系統(tǒng)的默認用戶特別是 Administrator改名 。 (7) 不要使用無口令的賬號 ， 否則會給安全留下隱患 。 (8) 禁用 Guest賬號 。 7) 設(shè)置賬號鎖定 這是阻止黑客入侵的有效方法 ， 建議設(shè)置嘗試注冊三次后鎖定賬號 ， 在合適的鎖定時間后被鎖定的賬號自動打開 ， 或者只有管理員才能打開賬號使用戶恢復(fù)正常 。 第 6章 計算機網(wǎng)絡(luò)的安全性 8) 控制遠程訪問服務(wù) 遠程訪問是黑客攻擊 NT/2023系統(tǒng)的常用手段 ，Windows NT/2023集成的防止外來入侵最好的功能是認證系統(tǒng) 。 Windows 95/98/XP和 Windows NT/2023客戶機不僅可以交換加密用戶 ID和口令數(shù)據(jù) ， 而且還使用 Windows專用的挑戰(zhàn)響應(yīng)協(xié)議 (Challenge/Response Protocol)， 這可以確保決不會多次出現(xiàn)相同的認證數(shù)據(jù) ， 還可以有效阻止內(nèi)部黑客捕捉網(wǎng)絡(luò)信息包 。 9) 啟用登錄工作站和登錄時間限制 如果每個用戶只有一個 PC，并且只允許工作時間登錄，可以把每個用戶的賬號限制在自己的 PC上且在工作時間內(nèi)使用，從而保護網(wǎng)絡(luò)數(shù)據(jù)的安全。 第 6章 計算機網(wǎng)絡(luò)的安全性 10) 啟動審查功能 為防止未經(jīng)授權(quán)的訪問 ， 可以利用域用戶管理器啟用安全審查功能 ， 以便在事件查看器安全日志中記錄未經(jīng)授權(quán)的訪問企圖 ， 以便盡早發(fā)現(xiàn)安全漏洞 。 但要結(jié)合工作實際 ， 設(shè)置合理的審計規(guī)則 ， 切忌審查事件太多 ， 以免無時間全部審查安全問題 。 11) 確保注冊表安全 首先，取消或限制對 、 問；其次，利用 理員訪問注冊表，其他任何用戶不得訪問注冊表。 第 6章 計算機網(wǎng)絡(luò)的安全性 12) 應(yīng)用系統(tǒng)的安全 在 Windows NT/2023上運行的應(yīng)用系統(tǒng)如 Web服務(wù)器 、 FTP服務(wù)器 、 Email服務(wù)器 、 Inter Explorer等 ，應(yīng)及時通過各種途徑 (如 Web站點 )獲得其補丁程序包 ，以解決其安全問題 。 第 6章 計算機網(wǎng)絡(luò)的安全性 * 常見的黑客工具及攻擊方法 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽是黑客在局域網(wǎng)或路由器上進行的一項黑客技術(shù) ， 可以很容易地獲得用戶的密碼和賬號 。 網(wǎng)絡(luò)監(jiān)聽原本是網(wǎng)絡(luò)管理員使用的一個工具 ， 主要用來監(jiān)視網(wǎng)絡(luò)的流量 、 狀態(tài) 、 數(shù)據(jù)等信息 。 它對網(wǎng)絡(luò)上流經(jīng)自己網(wǎng)段的所有數(shù)據(jù)進行接收 ， 從中發(fā)現(xiàn)用戶的有用信息 。 第 6章 計算機網(wǎng)絡(luò)的安全性 網(wǎng)絡(luò)監(jiān)聽的危害很大。首先，它接收所有的數(shù)據(jù)報文，這就使網(wǎng)絡(luò)上的數(shù)據(jù)丟失，造成網(wǎng)絡(luò)通信不暢。其次，在計算機網(wǎng)絡(luò)中，大量的數(shù)據(jù)是以明文傳輸?shù)?，如局域網(wǎng)上的 FTP、 Web等服務(wù)一般都是明文傳輸?shù)摹? 這樣 ， 黑客就很容易拿到用戶名和密碼 ， 而且有許多用戶為了記憶方便 ， 在不同的服務(wù)上使用的用戶名和密碼是一樣的 ， 這就意味著一些網(wǎng)絡(luò)管理員的密碼會被得到 (太危險了 )。 另外 ， 網(wǎng)絡(luò)監(jiān)聽采用被動的方式 ， 它不與其他主機交換信息 ， 也不修改密碼 ， 這就使對監(jiān)聽者的追蹤變得十分困難 。 第 6章 計算機網(wǎng)絡(luò)的安全性 1． 什么是以太網(wǎng) Sniffing 以太網(wǎng) Sniffing是指對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進行偵聽，發(fā)現(xiàn)感興趣的包；如果發(fā)現(xiàn)符合條件的包，就把它存到一個 log文件中去。通常設(shè)置的這些條件是包含字“ username”或“ password”的包。它的目的是將網(wǎng)絡(luò)層放到 Promiscuous模式。 Promiscuous模式中網(wǎng)絡(luò)上的所有設(shè)備都對總線上傳送的數(shù)據(jù)進行偵聽，而不僅僅是偵聽它們自己的數(shù)據(jù)。當一個設(shè)備要向某一目標發(fā)送數(shù)據(jù)時，它是對以太網(wǎng)進行廣播的。 一個連到以太網(wǎng)總線上的設(shè)備在任何時間內(nèi)都在接收數(shù)據(jù)，不過它只是將屬于自己的數(shù)據(jù)傳給該計算機上的應(yīng)用程序。利用這一點，可以將一臺計算機的網(wǎng)絡(luò)連接設(shè)置為接收所有以太網(wǎng)總線上的數(shù)據(jù)，從而實現(xiàn) Sniffer。 第 6章 計算機網(wǎng)絡(luò)的安全性 Sniffer通常運行在路由器或有路由器功能的主機上 ， 這樣就能對大量的數(shù)據(jù)進行監(jiān)控 。 Sniffer屬第二層次的攻擊 ， 通常是攻擊者已經(jīng)進入了目標系統(tǒng) ， 然后使用 Sniffer這種攻擊手段以得到更多的信息 。 Sniffer除了能得到口令或用戶名外 ， 還能得到更多的其他信息 ， 比如網(wǎng)上傳送的金融信息等等 。 Sniffer幾乎能得到任何以太網(wǎng)上傳送的數(shù)據(jù)包 。 有許多運行于不同平臺上的 Sniffer程序： Linux tcpdump、 DOS ETHLOAD、 The Gobbler、 LanPatrol、LanWatch 、 Netmon、 Netwatch、 Netzhack等 ， 都可以從 Inter上找到 。 第 6章 計算機網(wǎng)絡(luò)的安全性 使用 Sniffer程序或編寫一個功能強大的 Sniffer程序需要一些網(wǎng)絡(luò)方面的知識 。 因為如果沒有恰當?shù)卦O(shè)置這個程序 ，根本就不能從大量的數(shù)據(jù)中找出需要的信息 。 通常 Sniffer程序只看一個數(shù)據(jù)包的前 200～ 300個字節(jié)的數(shù)據(jù) ， 就能發(fā)現(xiàn)想要的口令和用戶名等信息 。 2. 怎樣在一個網(wǎng)絡(luò)上發(fā)現(xiàn)一個 Sniffer 網(wǎng)絡(luò)監(jiān)聽是被動的 ， 它不與其他主機交換信息 ， 也不修改密碼 ， 這就使對監(jiān)聽者的追蹤變得十分困難 ， 因為他們根本就沒有留下任何痕跡 。 一個主要的辦法是看看計算機上當前正在運行的所有程序 ， 這通常并不可靠 ， 但用戶能控制哪個程序可以在計算機上運行 。 第 6章 計算機網(wǎng)絡(luò)的安全性 在 Windows系統(tǒng)下 ， 按下 Ctrl+Alt+Del鍵 ， 看一下任務(wù)列表 。 不過 ， 編程技巧高的 Sniffer即使正在運行 ，也不會出現(xiàn)在這里 。 另一個方法就是在系統(tǒng)中搜索 ， 查找可懷疑的文件 。 但可能入侵者用的是他們自己寫的程序 ， 這給發(fā)現(xiàn) Sniffer造成相當大的困難 。 還有許多工具能用來查看系統(tǒng)會不會工作在Promiscuous模式 ， 從而發(fā)現(xiàn)是否有 Sniffer程序在運行 。 第 6章 計算機網(wǎng)絡(luò)的安全性 最近， Inter網(wǎng)絡(luò)上介紹了一種發(fā)現(xiàn)網(wǎng)絡(luò)監(jiān)聽者的新方法，它的原理是當一臺主機處于監(jiān)聽狀態(tài)時，由于要接收網(wǎng)絡(luò)上的所有數(shù)據(jù)幀，會負擔很重。例如，網(wǎng)卡處于Promiscuous模式，對于 TCP/IP協(xié)議中的 IGMP、 ARP等協(xié)議沒有反應(yīng) (不同的系統(tǒng)有不同的反應(yīng)或反應(yīng)很慢 )，通過對這些協(xié)議進行測試就可以知道對方的主機狀態(tài)，從而發(fā)現(xiàn)監(jiān)聽者?，F(xiàn)在實現(xiàn)這項功能的 Antisniff程序已被開發(fā)出來，感興趣的讀者可上 Inter網(wǎng)下載。 第 6章 計算機網(wǎng)絡(luò)的安全性 3． 怎樣防止 Sniffer 要防止 Sniffer并不困難 ， 有許多可以選用的方法 ， 但關(guān)鍵是需要增加開銷 。 用戶最關(guān)心的是一些比較敏感的數(shù)據(jù)的安全 ， 如用戶 ID或口令等 。 有些數(shù)據(jù)是沒有經(jīng)過處理的 ， 一旦遇到 Sniffer， 對方就能獲得這些信息 。 解決這些問題的辦法是加密 。 加密一般采用 SSH， SSH又叫 Secure Shell， 是一個在應(yīng)用程序中提供安全通信的協(xié)議 ， 它建立在客戶機 /服務(wù)器模型上 。 SSH服務(wù)器分配的端口號是 22，連接是通過使用一種來自 RSA的算法建立的 ， 在授權(quán)完成后 ， 接下來的通信數(shù)據(jù)是用 IDEA技術(shù)來加密的 ， 加密功能較強 ， 適合于任何非秘密和非經(jīng)典的通信 。 第 6章 計算機網(wǎng)絡(luò)的安全性 SSH后來發(fā)展成為 FSSH， 提供了高層次的軍方級別的對通信過程的加密 ， 它為通過 TCP/IP網(wǎng)絡(luò)進行通信提供了通用的最強的加密技術(shù) 。 如果某個站點使用 FSSH， 用戶名和口令就變得不是很重要了 。 目前 ， 還沒有人突破過這種加密方法 。 即使對 Sniffer， 收集到的信息也將不再有價值 。 當然 ， 最關(guān)鍵的是怎樣使用 SSH和 FSSH加密方法 ， SSH和 FSSH都有商業(yè)或自由軟件版本存在 ， 即 NT are available。 第 6章 計算機網(wǎng)絡(luò)的安全性 另一個比較容易接受的防止 Sniffer的方法是使用安全拓撲結(jié)構(gòu) 。 有一種智力游戲 ， 它通常由一系列數(shù)字組成 ， 游戲的目的是要安排好數(shù)字 ， 用最少的步驟把它們按遞減順序排好 。 處理網(wǎng)絡(luò)拓撲就和玩這個游戲一樣 ， 其規(guī)則如下： (1) 對網(wǎng)絡(luò)硬件結(jié)構(gòu)進行嚴格的網(wǎng)段劃分 ， 網(wǎng)段應(yīng)該在所考慮的數(shù)據(jù)之間的信任關(guān)系上來設(shè)計 ， 而不是按網(wǎng)絡(luò)硬件需要來建立 ， 同時一個網(wǎng)段必須有足夠的理由才能信任另一網(wǎng)段 。 這里網(wǎng)段僅由能互相信任的計算機組成 ， 通常它們在同一個房間里 ， 或在同一個辦公室里 。 第 6章 計算機網(wǎng)絡(luò)的安全性 (2) 建立信任策略表 。 由于網(wǎng)絡(luò)分段了 ， 因而數(shù)據(jù)包只能在某個網(wǎng)段上被監(jiān)聽 ， 多個網(wǎng)段間將不可能被監(jiān)聽 ， 除非它們之間建立了信任關(guān)系 。 由此可知 ， 所有的問題都歸結(jié)到了信任面上 ， 計算機為了和其他計算機進行通信 ， 它就必須信任那臺計算機 。 系統(tǒng)管理員的工作是構(gòu)造一個策略 ， 使得計算機之間的信任關(guān)系很小 ， 這樣就建立了一種框架 ， 建立信任策略表的目的是保證一旦出現(xiàn)了監(jiān)聽問題 ， 它只對最小范圍有效 。 (3) 如果內(nèi)部網(wǎng)絡(luò)要和 Inter相連 ， 還必須使用防火墻 。 對于劃分網(wǎng)段和建立信任關(guān)系 ， 可通過 VLAN(虛擬局域網(wǎng) )技術(shù)來實現(xiàn) ， 目前市面上的許多交換機都支持 VLAN技術(shù) ， 可以通過設(shè)置將網(wǎng)絡(luò)上的任意幾個站點邏輯設(shè)定在同一個網(wǎng)段上 。 第 6章 計算機網(wǎng)絡(luò)的安全性 Sniffer往往是攻擊者在侵入系統(tǒng)后使用的 ， 用來收集有用的信息 ， 因此 ， 防止系統(tǒng)被突破才是關(guān)鍵 。 系統(tǒng)安全管理員要定期對所管理的網(wǎng)絡(luò)進行安全測試 ， 防止安全隱患 ， 同時要控制擁有相當權(quán)限的用戶的數(shù)量 。 請記住 ， 許多攻擊往往來自網(wǎng)絡(luò)內(nèi)部 。 端口掃描 在 OSI/RM模型的傳輸層上 ， 計算機通過端口進行通信和提供服務(wù) ， 一個端口就是一個潛在的通信通道 ， 也就是一個入侵通道 。 對目標計算機進行端口掃描 ， 能得到許多有用的信息 。 進行掃描的方法很多 ， 可以手工掃描 ， 也可以用端口掃描軟件掃描 。 第 6章 計算機網(wǎng)絡(luò)的安全性 在手工掃描時 ， 需要熟悉各種命令 ， 對命令執(zhí)行后的輸出進行分析 。 用端口掃描軟件掃描時 ， 許多掃描軟件都有分析數(shù)據(jù)的功能 。 通過端口掃描 ， 可以得到許多有用的信息 ， 從而發(fā)現(xiàn)系統(tǒng)的安全漏洞 。 1． Ping命令 Ping命令經(jīng)常用來對 TCP/IP網(wǎng)絡(luò)進行診斷 。 通過目標計算機發(fā)送一個數(shù)據(jù)包 ， 讓它將這個數(shù)據(jù)包反送回來 。 如果返回的數(shù)據(jù)包和發(fā)送的數(shù)據(jù)包一致 ， 那就是說 Ping命